Dobrý deň, priatelia! Zapnuté naučili sme sa základy práce s protokolmi na FortiAnalyzer. Dnes pôjdeme ďalej a pozrieme sa na hlavné aspekty práce s prehľadmi: čo sú prehľady, z čoho pozostávajú, ako môžete upravovať existujúce prehľady a vytvárať nové. Ako obvykle, najprv trocha teórie a potom budeme pracovať s reportmi v praxi. Pod strihom je prezentovaná teoretická časť lekcie, ako aj video lekcia, ktorá zahŕňa teóriu aj prax.
Hlavným účelom správ je kombinovať veľké množstvo údajov obsiahnutých v protokoloch a na základe dostupných nastavení prezentovať všetky prijaté informácie v čitateľnej forme: vo forme grafov, tabuliek, tabuliek. Na obrázku nižšie je zobrazený zoznam predinštalovaných reportov pre zariadenia FortiGate (nie všetky reporty sa doň zmestia, ale myslím si, že tento zoznam už ukazuje, že aj po vybalení z krabice môžete zostaviť množstvo zaujímavých a užitočných reportov).
Správy však len čitateľne prezentujú požadované informácie – neobsahujú žiadne odporúčania na ďalší postup pri zistených problémoch.
Hlavnou zložkou správ sú grafy. Každý prehľad pozostáva z jedného alebo viacerých grafov. Grafy určujú, aké informácie by sa mali extrahovať z protokolov a v akom formáte by sa mali prezentovať. Datasety sú zodpovedné za extrakciu informácií - SELECT dotazov do databázy. Práve v datasetoch je presne určené, odkiaľ a aké informácie treba extrahovať. Po zobrazení požadovaných údajov ako výsledku požiadavky sa na ne aplikujú nastavenia formátu (alebo zobrazenia). Výsledkom je, že získané údaje sú zostavené do tabuliek, grafov alebo tabuliek rôznych typov.
Dotaz SELECT používa rôzne príkazy, ktoré nastavujú podmienky pre informácie, ktoré sa majú získať. Najdôležitejšie je zvážiť, že tieto príkazy sa musia použiť v konkrétnom poradí, v tomto poradí sú uvedené nižšie:
FROM je jediný príkaz, ktorý sa vyžaduje v dotaze SELECT. Označuje typ protokolov, z ktorých sa musia extrahovať informácie;
KDE - pomocou tohto príkazu sa nastavia podmienky pre protokoly (napríklad konkrétny názov aplikácie / útoku / vírusu);
GROUP BY - tento príkaz vám umožňuje zoskupiť informácie podľa jedného alebo viacerých stĺpcov záujmu;
ORDER BY - pomocou tohto príkazu môžete zoradiť výstup informácií po riadkoch;
LIMIT – Obmedzuje počet záznamov vrátených dotazom.
FortiAnalyzer obsahuje preddefinované šablóny reportov. Šablóny sú takzvaným rozložením zostavy — obsahujú text zostavy, jej grafy a makrá. Pomocou šablón môžete vytvárať nové zostavy, ak sú potrebné minimálne zmeny v preddefinovaných zostavách. Predinštalované zostavy však nemožno upravovať ani mazať – môžete ich naklonovať a vykonať potrebné zmeny na kópii. Je tiež možné vytvoriť si vlastné šablóny správ.
Niekedy sa môžete stretnúť s nasledujúcou situáciou: preddefinovaná zostava vyhovuje úlohe, ale nie úplne. Možno budete musieť pridať nejaké informácie, alebo naopak odstrániť. V tomto prípade existujú dve možnosti: klonovanie a zmena šablóny alebo samotná správa. Tu sa treba spoľahnúť na viacero faktorov.
Šablóny sú rozložením pre zostavu, obsahujú grafy a text zostavy, nič viac. Samotné zostavy zase okrem takzvaného „rozloženia“ obsahujú rôzne parametre zostavy: jazyk, písmo, farbu textu, obdobie generovania, filtrovanie informácií atď. Ak teda potrebujete vykonať iba zmeny v rozložení zostavy, môžete použiť šablóny. Ak je potrebná dodatočná konfigurácia zostavy, môžete upraviť samotnú zostavu (presnejšie, jej kópiu).
Na základe šablón môžete vytvoriť niekoľko správ rovnakého typu, takže ak potrebujete vytvoriť veľa navzájom podobných správ, je lepšie použiť šablóny.
V prípade, že vám predinštalované šablóny a zostavy nevyhovujú, môžete si vytvoriť novú šablónu aj novú zostavu.
Aj na FortiAnalyzer je možné nakonfigurovať zasielanie reportov jednotlivým administrátorom e-mailom alebo ich nahrávanie na externé servery. To sa vykonáva pomocou mechanizmu výstupného profilu. V každej administratívnej doméne sú nakonfigurované samostatné výstupné profily. Pri konfigurácii výstupného profilu sú definované nasledujúce parametre:
- Formáty odosielaných správ - PDF, HTML, XML alebo CSV;
- Miesto, kam sa budú odosielať prehľady. Môže to byť e-mail administrátora (na tento účel musíte prepojiť FortiAnalyzer s poštovým serverom, o čom sme hovorili v minulej lekcii). Môže to byť aj externý súborový server - FTP, SFTP, SCP;
- Môžete si vybrať, či chcete zachovať alebo odstrániť miestne prehľady, ktoré zostali v zariadení po prenose.
V prípade potreby je možné urýchliť generovanie reportov. Zvážme dva spôsoby:
Pri generovaní zostavy FortiAnalyzer vytvára grafy z predkompilovaných údajov vyrovnávacej pamäte SQL známych ako hcache. Ak sa pri spustení zostavy nevytvoria údaje hcache, systém musí najprv vytvoriť hcache a potom zostaviť zostavu. Tým sa predĺži čas generovania správy. Ak však nie sú prijaté nové protokoly pre zostavu, keď sa zostava znovu vytvorí, čas na jej generovanie sa výrazne skráti, pretože údaje hcache už boli skompilované.
Ak chcete zlepšiť výkon generovania prehľadov, môžete v nastaveniach prehľadu povoliť automatické generovanie hcache. V tomto prípade sa hcache automaticky aktualizuje, keď prídu nové protokoly. Príklad nastavenia je znázornený na obrázku nižšie.
Tento proces využíva veľké množstvo systémových prostriedkov (najmä pre zostavy, ktoré vyžadujú dlhý čas na zhromažďovanie údajov), takže po jeho zapnutí musíte sledovať stav FortiAnalyzer: či sa zaťaženie výrazne zvýšilo, či došlo k kritickému spotreba systémových prostriedkov. V prípade, že FortiAnalyzer nedokáže zvládnuť záťaž, je lepšie tento proces deaktivovať.
Treba tiež poznamenať, že automatická aktualizácia údajov hcache je predvolene povolená pre plánované zostavy.
Druhým spôsobom, ako urýchliť generovanie prehľadov, je zoskupovanie:
Ak sa rovnaké (alebo podobné) správy generujú pre rôzne zariadenia FortiGate (alebo iné Fortinet), môžete výrazne urýchliť proces generovania ich zoskupením. Zoskupovanie zostáv môže znížiť počet tabuliek hcache a zrýchliť časy automatického ukladania do vyrovnávacej pamäte, čo vedie k rýchlejšiemu generovaniu zostáv.
V príklade znázornenom na obrázku nižšie sú zostavy, ktoré vo svojich názvoch obsahujú reťazec Security_Report, zoskupené podľa parametra ID zariadenia.
Video tutoriál predstavuje teoretický materiál diskutovaný vyššie, ako aj praktické aspekty práce so zostavami – od vytvárania vlastných datasetov a grafov, šablón a zostáv až po nastavenie odosielania zostáv správcom. Príjemné sledovanie!
V ďalšej lekcii sa pozrieme na rôzne aspekty správy FortiAnalyzer, ako aj na jeho licenčnú schému. Aby ste to nezmeškali, prihláste sa na odber nášho .
Môžete tiež sledovať aktualizácie nasledujúcich zdrojov:
Zdroj: hab.com